» Kerio WinRoute Firewall (часть 3)

lavren
-Enable non-transparent proxy server authentication
этой опции не нашла. ПО ходу у меня еще старая версия керио.
Логаут юзеров стоял.

И блин по ходу проблема была в не поставленной галочке - Always require users to be authenticated when accessing web pages . Они и без авторизации спокойно залазили. Спасибо вам большое.
Вечером проверю, когда пару компов освободится.

Спасибо большое.

alfred444

Цитата:

страница авторизации каким-то образом просто отбрасывается

Какая? Если керио то добавь в Configuration\Traffic Policy в правило на раздачу инета в столбец Service: KWF WebAdmin, KWF WebAdmin-SSL.
AF1NA
У тебя какая версия КВФ? В 6.3.1 и 6.4.0 так как я написал! (других не пробовал)

я в trafic policy ничего не ограничивал, дал доступ всем и везде, созвонился с админим баз данных "интранета", он клялся и божился что от меня все идет нормально и проблема моя, но полез проверять...
P.S. проблема разрешилась после того как получил сообщение "доступ запрещен" в IE обновить страницу эдак раз 5 и все пошло, пошло причем с любой станции, опять вернул на место все правила - все работает. них... не понимаю чего было Ж)

Есть скриптик на php, что-то типа анонимайзера. Его можно разместить у себя на сайте и пускать все обращения, которые надо скрыть от логов KWF, через него. Например запрещен вам google.ru или вы не хотите чтобы в логах осталась запись о том что вы туда лазили, тогда заходите на свой сайт, на страничку с этим скриптом, а там уже вбиваете любой url и при этом в логах KWF будет записано обращение к этому сайту.
Единственное НО... В момент обращения к этому анонимайзеру KWF посылает запрос в открытом виде и тогда в Актив Хостс видно куда ты лезешь.
Знает ли кто как этого избежать полностью? Типа чтобы посылались какие-нить зашифрованные что ли запросы... Такое возможно?

версия 6.3.1

стоят галочки:
Users and Groups\Users\Authentication Options
-Always require users to be authenticated when accessing web pages
-Enable non-transparent proxy server authentication
-Automatically logout users when they are inactive

Когда отключаю акк пользователя, то он все равно имеет доступ в инет через прокси, а если полностью удалить акк, вот тогда пользователь не может выйти в инет. Как победить? (ip пользователи не меняют)

rubezh1
После отключения акк, если ты хочешь чтобы юзер прекратил иметь достп к инету, надо его разлогинить и/или старт, стоп KWF. У меня токо так.

Lovec
И разлогинивал одного и разлогинивал всех и старт/стоп KWF - бесполезно, помогает только удаление акка.

ps: через NAT как выяснилось также отключенные пользователи могут работать.
pps: был включен автоматический логин по ip, выключил - проблема отключенных пользователей решилась.

Цитата:

был включен автоматический логин по ip, выключил - проблема отключенных пользователей решилась.

Вот видишь, решение было под рукой
Ключевая фраза
Цитата:

-Enable non-transparent proxy server authentication

Здрасте,
Хелп плиз...
Как мне заблокировать зкачивание файлов?
например mp3 avi exe и .bin
Никак не нашел способ.

giorgit
На эту тему куча вопросов (и ответов) в форумах http://kerio-rus.ru/, http://www.winroute.ru/. Попробуй поискать.
Ну а вообще через HTTP Policy. Типа создать запрет на URL вида *.mp3 (etc).

На шлюзе стоит еще почтовик от керио. Сейчас хочу их развести. После установки почтовика на другую машину, надо ли будет создавать какое-нибудь спец. правило в фаере? (почтовик должен быть виден из вне и обслуживать локалку)

obtim
есественно да. Правилами надо будет разрешить почтовику "ходить" в инет для отправки почты и второе правило для того, чтобы из инета почтовик был доступен

snayper7

Цитата:

dvk54
правильно ставил?

керио лицензионный....

dvk54
тогда ставь последнюю версию(многие проблемы решают последней версией), потом отпишешь

lavren
Спасибо. Просмотрел, ознакомился.
Будем ждать.
Кстати, переключение инспектора в этот раз помогло. Посмотрим, всегда ли оно будет помогать или нет.

Добрый день!
Подскажите, плз.
Хотелось бы чтобы после закрытия браузера просходил "Logout user" зарегистрированного пользователя на данном компе.
Есть такая возможность?

Никто не сталкивался со следующей ситуацией?

Исходные данные:
1. Сервер терминалов с АД и винрутом установлены на одном хосте.
2. Настроен и работает маппинг АД пользователей из домена.

Проблема:
Первый пользователь зашедший на терминал и воспользовавшийся интернетом успешно автоматически авторизуется браузером и его статистика правильно пишется в http.log и в базу STaR. Любой последующий пользователь работающий с этого хоста с интернетом работает от аккаунта первого пользователя, что не правильно.
Керий нам предлагает в случае терминала требовать аутентифигации каждой сессии браузера (галка Force non-transparet proxy server authentication). Её включение приводит к следующим последствиям:
1. Автоматическая авторизация перестаёт работать, браузер каждый раз запрашивает логин и пароль. Паралельно работающие пользователи правильно прописываются в http.log
2. База STaR не пишется, весь трафик уходит в unrecognized users. Это происодит и в случае, если пользователи локальные. Соответственно и квоты перестают работать.
Такие дела.

День добрый!

Есть следующая проблема: необходимо изменить порт на удаленное подключение через "Kerio administration console". Как это сделать? За ранее спасибо!

wary
залезь в сервисы и поменяй порт на соответствующем сервисе

Цитата:

Сервер терминалов с АД и винрутом установлены на одном хосте.

Жесть

Цитата:

весь трафик уходит в unrecognized users. Это происодит и в случае, если пользователи локальные.

Да, помню на 5-ке такое было у меня. Сейчас все нормально.

Цитата:

База STaR не пишется

А че она писаться будет, это ж прокся.

Цитата:

wary
залезь в сервисы и поменяй порт на соответствующем сервисе

зделал, а где в самой консоли указывать порт, чере ":" - не помогает??

wary
про консоль то я и забыл, попробуй айпишник указывать и после него порт через двоеточее

Yips
Почему жесть? Этот сервер используется исключительно для выхода пользователей в инет и никак иначе. И не вижу связи между проксёй и базой STaR. Писаться она должна по результатам использования трафика пользователями. И пишется, пока не поставишь аутентификацию каждой сессии браузера.

Цитата:

wary
про консоль то я и забыл, попробуй айпишник указывать и после него порт через двоеточее

через ДВОЕТОЧИЕ - не работает. При указание порта через двоеточие вылетает ошибка OpenSSL error, в самой документахе ничего про это не сказано. Тогда не понятно для чего в самом Kerio есть возможно менять порт в сервиесе KWF Admin....

Добавлено:
народ может кто сталкивался с такой траблой???

wary
Файл winroute.cfg
<table name="Administration">
<variable name="RemoteAdmEnabled">1</variable>
<variable name="RemoteAdmPort">44333</variable>

Уважаемые, тут сталкнулся с проблеммой что после обновлнения KWF не могу запусить Client for Microsoft Network на сетевом интерфейсе смотрящем в локалку... В чем загвоздка? По идее и без нее неплохо работает, но при таком раскладе не могу подключится терминально через mstsc... а бегать до сервака далеко...

кто-нить в курсе, подключил я через усб скайлинковский телефон.. временно инет у нас не работает, хочу пустить через скайлинк локалку в инет. до этого у меня работало так - две сетевухи - одна инет, вторая локалка. в керио соответсвенно правило

local | inet | any | permit | nat

а вот как теперь правило модернизировать? у меня теперь есть в сетевых подклюбчения обычное соединение а-ля диалап.. как мне сказать керио что локалку надо натить через него? нашел интерфейсах типа "dialin", но не знаю, верно это или нет...

f0s
В твоем правиле вместо "inet" делаешь Traffic Policy - двойной щелчек на Destination - Add - Network connected to interface... и выбираешь новый интерфейс свой, тоесть
Цитата:

соединение а-ля диалап..

Только почему там Any дальше? но это уже другая пестня.

IcebergV

Цитата:

Уважаемые, тут сталкнулся с проблеммой что после обновлнения KWF не могу запусить Client for Microsoft Network на сетевом интерфейсе смотрящем в локалку...

сильно сомневаюсь, что дело в обновлении Winroute...

Вчера обнулилась статистика по пользователям.. Возможно из-за перехода на зимнее время..
А осталось еще три дня.. Можно ли ее восстановить?
Что делать то?